Zone Transfer 世界大揭秘

還記得在上一篇文章 Zone Transfer CVE-1999-0532 - 古老的 DNS 資安議題中我們曾提到，若對全世界的網站進行 zone transfer 檢測恐怕會有更多驚人的案例嗎？正好 Alexa 提供了全球排名前一百萬名的網站資料，我們就以這份資料為基礎來做一些統計吧！

有問題的 domain 總數與比例

• 79133，約佔所有受測目標的 8.014%
• 上述 domain 的所有 zone file 共含有 22631804 筆 DNS 記錄

由於在 Alexa Top 1M 中有許多資料是重複的 domain，另外也有些資料是 IP，在本次的檢測當中都不列入計算，因此受測 domain 總數僅有 987447 個，而非一百萬個。另外，本次掃描為求快速犧牲了部分準確率，因此實際數量應比 79133 更多。

有問題的 Top-Level Domain (TLD) 數量

• 全世界 TLD 總數：567
• 受測目標的 TLD 總數：316，佔全世界總數的 55.73%
• 有 zone transfer 問題的 TLD 總數：220，佔受測目標的 69.62%

目前 TLD 總數的數據取自於 Internet Assigned Numbers Authority (IANA)，不了解 TLD 是什麼的人可以參考這篇維基百科文章。

有趣的是，連一些新的 TLD 都有 zone transfer 問題，例如 .technology、.museum 等等，可見這真的很容易被大家忽略～

關於各個 TLD 的統計數據

• Transferable domain in this TLD：在特定 TLD 中，有多少 domain 可任意執行 zone transfer
• Same TLD in Alexa top 1M：特定 TLD 在本次 987447 個受測目標中所佔的數量
• Percentage of same TLD in Alexa top 1M：特定 TLD 在 Alexa top 1M 內所有同樣 TLD 所佔的百分比（例：.com 即為 35230 / 527203 = 6.68%）
• Percentage of all transferable domain：某特定 TLD 可任意執行 zone transfer 的數量在本次所有可任意執行 zone transfer 所占的百分比（例：.com 即為 35230 / 79133 = 44.52%）

由於原始數據太多，因此本文僅列出前 25 名。

.tw 網域排第二十一名，幸好這次不是世界第一了，否則又是另類的台灣之光。

關於 name server 的統計數據

• Number of domain：該台 name server 有多少 domain 可任意執行 zone transfer

由於原始數據太多，因此本文僅列出前 25 名。

可執行 zone transfer 且不重複的 namer server 共有 53830 個

關於 IP 位址的統計數據

• 有 7939172 個不重複的 IP 位址
• 在全部 IP 位址中，有 704638 個是私有 IP 位址
• 在私有 IP 位址中，有 598443 個是 10. 開頭，佔所有 IP 位址的 7.538%，佔私有 IP 位址的 84.929%
• 在私有 IP 位址中，有 66270 個是 172.16~31 開頭，佔所有 IP 位址的 0.835%，佔私有 IP 位址的 9.405%
• 在私有 IP 位址中，有 39925 個是 192.168 開頭，佔所有 IP 位址的 0.503%，佔私有 IP 位址的 5.666%

subdomain 的統計數據

以下選出一些常被入侵者當作攻擊目標的 subdomain 來計算在 22631804 筆 DNS 記錄中分別各佔了幾筆，每個 subdomain 共有兩個統計結果，逗號左邊的統計結果代表以該 subdomain 開頭的 DNS 記錄，例如 git.devco.re。逗號右邊的統計結果則將前後有數字的 subdomain 也一併計入，例如 dns01.devco.re、01dns.devco.re、0dns001.devco.re 等等。

• 版本控制

  git: 583, 626

  gitlab: 138, 138

  svn: 1552, 1669

  subversion: 71, 72

  cvs: 284, 330

  hg: 115, 331

  mercurial: 18, 19

• 開發與測試

  test: 14691, 20001

  dev: 8300, 10959

  stage: 1329, 1628

• 資料庫

  db: 1190, 2537

  database: 150, 302

  sql: 2209, 3298

  mysql: 4045, 4998

  postgre: 11, 11

  redis: 21, 33

  mongodb: 6, 42

  memcache: 13, 72

  phpmyadmin: 455, 485

• 後台管理

  manager: 188, 222

  staff: 481, 542

  member: 331, 376

  backend: 153, 177

• 線上服務相關

  api: 1871, 2097

  search: 1469, 10987

  pic: 178, 293

  img: 1775, 3517

  service: 779, 959

  payment: 225, 238

  cache: 373, 627

• 私有服務

  erp: 275, 318

  eip: 69, 80

  log: 227, 414

  nagios: 636, 736

  mrtg: 458, 565

  cgi: 194, 261

  dns: 2634, 9085

  ns: 12198, 63431

  ftp: 197414, 199481

  blog: 5074, 5446

  mail: 238742, 254515

  email: 2484, 2706

  webmail: 24164, 25067

  owa: 798, 888

  autodiscover: 30462, 30466

  vpn: 3152, 7025

  sso: 398, 462

  ssl: 709, 932

  proxy: 1464, 2215

  cms: 1320, 1696

  crm: 1152, 1301

  forum: 3654, 4037

按 End 的人有福了

究竟經由 zone transfer 所得到的資料可以拿來做什麼？對於攻擊者而言，主要有以下三種利用方式：

• 建立字典檔：入侵者可利用上述資料建立一份最常見的 subdomain 的字典檔，未來利用此字典檔進行掃描時可節省許多時間成本，快速檢測某間公司有哪些 subdomain
• 旁敲側擊：入侵者可觀察哪些 name server 有開放 zone transfer 查詢，接著去蒐集還有哪些公司使用同一台 name server，再進一步掃瞄那些 domain。那些 domain 也許不是大公司、不在 Alexa top 1M 內，但你無法確保它永遠不會是入侵者的攻擊目標。
• 結合 0day 進行攻擊：當某個第三方套件被揭露 0day 弱點時，擁有上述資料的人就可以迅速執行大範圍的攻擊。例如這幾年正夯的 Rails 在去年被爆出有 Remote Code Exection 弱點 CVE-2013-0156，入侵者可直接對所有 redmine 進行攻擊。Juniper VPN 在今年也被揭露 Remote Code Execution 弱點，入侵者可找尋所有 vpn subdomain 來進行嘗試。

在上次我們提起這個古老的弱點後，已經有部分台灣企業陸續將此問題修復，但許多台灣企業仍有此問題而不自知，也許過陣子我們直接做個 Wall of Shame 條列出哪些廠商有問題會讓大家比較有感 :p

不過也別急著笑台灣企業，許多國際級的大網站同樣也有此類問題。由此可見資安問題不分新舊、不分國內外，總是容易被大家忽略，等到不知不覺被入侵者捅了重重的一刀後，才驚覺這許多的小弱點一旦串起來是多麼的可怕。你，開始有所警覺了嗎？